#yyds干货盘点# 云服务器的CDN域名的远程鉴权配置,基于 Python
source link: https://blog.51cto.com/cnca/5112429
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
#yyds干货盘点# 云服务器的CDN域名的远程鉴权配置,基于 Python
原创在项目实战中,会碰到一种特定的运维场景,对CDN访问进行限制,一般手段是开启 referer 防盗链,开启 IP黑白名单,开启UA黑白名单,本篇博客为大家展示的是通过我们自己的服务器,然后实现远程鉴权,进行更加细致的权限判定。
实现目标:
- 请求CDN资源调用我们的鉴权服务器
- 鉴权服务器获取请求信息,并保存到日志中
- 分别返回鉴权成功,鉴权失败
开启远程鉴权
在远程鉴权页面打开【开关】之后,出现如下配置界面,这里相关细节描述如下:
鉴权服务器地址:我们自己的服务器,地址可访问,可以是域名也可以是IP地址;请求方法:支持 GET,POST,HEAD 三种请求;鉴权文件类型:多个文件类型用|分隔,例如mp4|flv;保留参数设置:控制用户请求 URL 中需要鉴权的参数,用|分隔;自定义参数:可以自定义参数,可以使用CDN控制台预设的变量,多个参数用|分隔,例如token=$arg_token|vendor=ali_cdn;保留请求头设置:控制用户请求头中需要鉴权的参数,可以保留所有参数,也可以保留指定参数;添加自定义参数:给请求头添加自定义参数;鉴权状态码:成功200,失败 403;鉴权超时时长:单位为毫秒,最长时长可以设置为3000;
参考上述说明配置完毕,得到如下界面,本案例中仅限制了 m3u8 类型的文件,后续我们根据实际情况进行修改。
开启该配置之后,再次访问静态资源,就会出现 403 Forbidden
这里需要注意,由于测试的是 m3u8 文件,所以访问该文件的时候,如果没有被禁止,会自动下载。
Python 端权限验证
以下代码基于 Flask 编写,主要将POST请求数据和Header请求头保存到文件中。
日志文件,我们使用 logging 模块写入到 new.log 文件中。
# 导入Flask类
from flask import Flask
from flask import request
from flask import render_template
import logging
import requests
import time
import random
import base64
logging.basicConfig(level=logging.DEBUG,
filename='./new.log',
filemode='a',
format='%(asctime)s - %(pathname)s[line:%(lineno)d] - %(levelname)s: %(message)s')
# 实例化,可视为固定格式
app = Flask(__name__)
@app.route('/auth', methods=['GET', 'POST','HEAD'])
def auth():
if request.method == 'GET':
args = request.args
return "hello"
if request.method == 'HEAD':
print("HEAD请求")
arges = request.form
print("参数")
logging.info(arges)
print(request)
print("请求头")
headers = request.headers
print(headers)
logging.info(headers)
print("请求数据")
logging.info(request.data)
return "login success", 200 # 403
if request.method == "POST":
print("POST请求")
arges = request.form
print(request)
headers = request.headers
print("参数")
logging.info(arges)
print("请求头")
logging.info(headers)
print("请求数据")
logging.info(request.data)
return "login success", 200 # 403
if __name__ == '__main__':
# app.run(host, port, debug, options)
# 默认值:host="127.0.0.1", port=5000, debug=False
app.run(host="0.0.0.0", port=5000)
此时,当你再次访问CDN资源时,会自动回调你的服务器进行鉴权操作,上述代码请求成功之后,返回状态码为 200,接下来CDN资源可以访问,如果返回403,表示被禁用。
服务端验证可以基于 referer + ua + ip 进行验证,为了保证效率,可以使用 redis 缓存数据库进行配置。
2022年度 Flag,写作的 <font color=red>586</font> / 1024 篇。
可以<font color=#04a9f4>关注</font>我,<font color=#04a9f4>点赞</font>我、<font color=#04a9f4>评论</font>我、<font color=#04a9f4>收藏</font>我啦。
- 赞
- 收藏
- 评论
- 分享
- 举报
Recommend
-
194
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第一篇,本系列预计四篇文章讲解微服务下的认证鉴权与API权限控制的实现。 1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能
-
121
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第二篇,本文重点讲解用户身份的认证与token发放的具体实现。本文篇幅较长,对涉及到的大部分代码进行了分析,可收藏于闲暇时间阅读,欢迎订阅本系列文章。1. 系统概览在上...
-
158
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第三篇,本文重点讲解token以及API级别的鉴权。本文对涉及到的大部分代码进行了分析,欢迎订阅本系列文章。1. 前文回顾在开始讲解这一篇文章之前,先对之前两篇文章进行回忆...
-
97
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的完结篇,前面三篇已经将认证鉴权与API权限控制的流程和主要细节讲解完。本文比较长,对这个系列进行收尾,主要内容包括对授权和鉴权流程之外的endpoint以及Spring Security过滤器部分踩坑...
-
119
前言Sentry是Hadoop生态中的一员,扮演着“守门人”的角色,看守着大数据平台的数据安全的访问。它以Plugin的形式运行于组件中,通过关系型数据库(PostgreSQL、MySQL)或本地文件来存取访问策略,对数据使用者提供细粒度的访问控制。本文试图在源码层剖析Sentry的鉴...
-
97
引言: 之前系列文章《认证鉴权与API权限控制在微服务架构中的设计与实现》,前面文章已经将认证鉴权与API权限控制的流程和主要细节讲解完。由于有些同学想了解下授权码模式,本文特地补充讲解。 授权码类型介绍授权码类型(authorization code)通过重定向的方式让...
-
5
#yyds干货盘点#DNS域名解析过程 精选 原创 尼羲 2022-09-21 14:46:30...
-
9
盘点:微信小程序域名被封如何申诉解封 小程序头条,
-
6
V2EX › 问与答 请问只有域名,没有云服务器(即不配置 IP)的话,加一条 CNAME 让其指向 github pages 会出问题吗?
-
10
JWT(Json Web Token) jwt是一种用于身份验证的开放标准,他可以在网络之间传递信息,jwt由三部分组成:头部,载荷,签名。头部包含了令牌的类型和加密算法,载荷包含了用户的信息,签名则是对头部和载荷的加密结果。 jwt鉴权验证是指在用户登录成...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK